Az\u00e9rt ezt az esetet v\u00e1lasztottuk bemutat\u00e1sra, mert a feladat nagyon hasonl\u00edt egy kisirodai h\u00e1l\u00f3zatn\u00e1l felmer\u00fcl\u0151 ig\u00e9nyekre.<\/p>\n
A feladat<\/h3>\n
Egy sz\u00e9p napon bes\u00e9t\u00e1lt Tomi 1<\/a><\/sup>, a t\u00e1sk\u00e1j\u00e1ban egy routerrel, \u00e9s elkezdte magyar\u00e1zni, hogy mit szeretne.<\/p>\n A nyomtat\u00f3ra m\u00e1r kor\u00e1bban telep\u00edtette a LEDE routerekre val\u00f3 oper\u00e1ci\u00f3s rendszert 2<\/a><\/sup><\/p>\n V\u00e9g\u00fcl ez a rajz k\u00e9sz\u00fclt:<\/p>\n A feladat megold\u00e1sa valamilyen VPN<\/a> szolg\u00e1ltat\u00e1s haszn\u00e1lat\u00e1val c\u00e9lszer\u0171. Az egyszer\u0171s\u00e9g kedv\u00e9\u00e9rt a rajz elk\u00e9sz\u00fclte ut\u00e1n kider\u00fclt, hogy Tomi laptopja ugyan Linuxos, de a lak\u00f3t\u00e1rsa Windowst haszn\u00e1l. Tomi az OpenVPN<\/a>-hez a lak\u00f3t\u00e1rsa a (Windowsba gy\u00e1rilag be\u00e9p\u00edtett) PPtP<\/a> protokollhoz ragaszkodik. Pr\u00f3b\u00e1ltunk \u00e9rvelni, hogy a PPtP protokoll m\u00e1r t\u00f6bbsz\u00f6r kompromitt\u00e1l\u00f3dott, ez\u00e9rt a Windows alatt is haszn\u00e1ljunk OpenVPN-t. Ebb\u0151l egy \u00e9rdekes eszmefuttat\u00e1s lett (amelynek r\u00e9szletei nem tartoznak-e cikk keretei k\u00f6z\u00e9), hogy egyes er\u0151s biztons\u00e1gi protokolloknak a titkosszolg\u00e1latok nem keltik-e rossz h\u00edr\u00e9t, pont az\u00e9rt, hogy gyeng\u00e9bbet haszn\u00e1ljunk helyette? Nem \u00e9rezt\u00fck magunkat felhatalmazva, hogy egy ilyen t\u00e9m\u00e1ban \u00e1ll\u00e1st foglaljunk. Elint\u00e9zt\u00fck annyival, hogy ez m\u00e1r a konteok<\/a> t\u00e9mak\u00f6r\u00e9be tartozik.<\/p>\n Ism\u00e9t eszmefuttat\u00e1s: Ha m\u00e1r a PPtP fent van, akkor mi\u00e9rt nem haszn\u00e1ljuk azt? A Linux is, a Windows is t\u00e1mogatja, egy szolg\u00e1ltat\u00e1ssal oldjuk meg a feladatot. Megint a makacss\u00e1gba akadtunk bele: Ha a Linuxra fel lehet tenni az OpenVPN-t, ki k\u00e9ne haszn\u00e1lni… Ezzel nem \u00e9rtett\u00fcnk egyet, mert \u00edgy egy feladatra k\u00e9t szolg\u00e1ltat\u00e1st haszn\u00e1lunk, ami nehez\u00edti az adminisztr\u00e1ci\u00f3t, feleslegesen terheli az am\u00fagy is kis teljes\u00edtm\u00e9ny\u0171 routert, valamit egy esetleges t\u00e1mad\u00e1ssal szemben is nagyobb fel\u00fcletet ny\u00fajt (mindk\u00e9t szolg\u00e1ltat\u00e1st t\u00e1madhatj\u00e1k). Ezt jelezt\u00fck Tominak, aki annyit mondott, nem baj.<\/p>\n A feladatot megvizsg\u00e1lva arra jutottunk, hogy ez m\u00e1r \u00f6sszetetts\u00e9g\u00e9ben egy komoly v\u00e1llalati h\u00e1l\u00f3zat (az\u00e9rt az egyes „telephelyeken” a h\u00e1l\u00f3zat nem v\u00e1llalati szint\u0171), ehhez nem biztos, hogy elegend\u0151 teljes\u00edtm\u00e9ny\u0171 ez a router, de hobby projektk\u00e9nt meg lehet pr\u00f3b\u00e1lni. A v\u00e1llalati h\u00e1l\u00f3zathoz hasonl\u00f3an egy koll\u00e9giumi szob\u00e1ban is felt\u00e9telezni kell, hogy nem mindenki \u00e1ll a h\u00e1l\u00f3zathoz loj\u00e1lisan.<\/p>\n A routerre a k\u00f6vetkez\u0151 szolg\u00e1ltat\u00e1sok ker\u00fclnek telep\u00edt\u00e9sre:<\/p>\n Az OpenVPN kulcsok gener\u00e1l\u00e1s\u00e1val m\u00e1r nem kell foglalkoznunk azt m\u00e1r Tomi legener\u00e1lta.<\/p>\n Amikor megn\u00e9zt\u00fck, akkor \u00fajra gener\u00e1ltuk, mert 1024 bites kulcshosszt v\u00e1lasztott (ez az OpenVPN alap\u00e9rtelmezett be\u00e1ll\u00edt\u00e1sa). A szakmailag elfogadott RSA<\/a> kulcshossz a cikk \u00edr\u00e1s\u00e1nak id\u0151pontj\u00e1ban a 2048 bites, ez\u00e9rt a 4096 bites kulcshosszt v\u00e1lasztottuk, hogy amennyiben valami nem v\u00e1rt esem\u00e9ny miatt a 2048 bites kulcsok kompromitt\u00e1l\u00f3dnak (az ilyen esem\u00e9nyek az\u00e9rt rendszeresen t\u00f6rt\u00e9nnek), legyen id\u0151nk a rendszert \u00e1tparam\u00e9terezni. (Ha a router nem tudja kell\u0151 g\u00f6rd\u00fcl\u00e9kenys\u00e9ggel kezelni, m\u00e9g v\u00e1laszthatunk r\u00f6videbb kulcsot.)<\/p>\n A cikksorozatban l\u00e9p\u00e9sr\u0151l l\u00e9p\u00e9sre bemutatjuk, hogyan \u00e9p\u00edtett\u00fck fel a routert, milyen v\u00e9delmi int\u00e9zked\u00e9seket tett\u00fcnk, mik a fejl\u0151d\u00e9s ir\u00e1nyai. Ki fog der\u00fclni, hogy egy egyszer\u0171 routert is v\u00e9deni kell (a kezel\u0151 fel\u00fcletet mindenk\u00e9ppen), valamint megmutatjuk, hogy a router sokkal t\u00f6bb ann\u00e1l, hogy \u201einternetet csin\u00e1l a sz\u00e1m\u00edt\u00f3g\u00e9pre”.<\/p>\n K\u00f6sz\u00f6net Tominak, hogy a router n\u00e1lunk maradhatott, am\u00edg a cikkek elk\u00e9sz\u00fcltek.<\/p>\n A router biztos\u00edtja az otthoni\/kisirodai h\u00e1l\u00f3zatunk sz\u00e1m\u00e1ra a kapcsolatot a k\u00fclvil\u00e1g fel\u00e9, valamint egyben biztos\u00edtja az els\u0151 v\u00e9delmi vonalat is. Ez a k\u00e9t, r\u00e9szben egym\u00e1snak ellentmond\u00f3 feladat a routerekbe be\u00e9p\u00edtett…\n
![\"\"](\"https:\/\/www.itkommando.hu\/site\/wp-content\/uploads\/VPN-h\u00e1l\u00f3zat-300x244.jpg\")
<\/a><\/p>\nElk\u00e9sz\u00edtett\u00fck az akci\u00f3tervet<\/h3>\n
\n
Kapcsol\u00f3d\u00f3 cikkek<\/h3>\n
\n